|
4月11日消息,,互聯(lián)網(wǎng)嚴(yán)重安全漏洞OpenSSL“心臟出血”的威脅仍在發(fā)酵。金山毒霸安全中心研究發(fā)現(xiàn),,不僅網(wǎng)民訪問(wèn)https攻擊網(wǎng)站會(huì)泄露個(gè)人隱私信息,,而且使用包含OpenSSL代碼庫(kù)的一些電腦軟件,甚至安卓APP,、瀏覽器,,都有可能面臨隱私被竊取的風(fēng)險(xiǎn)。 金山毒霸安全專家指出,,國(guó)外已有黑客將針對(duì)個(gè)人電腦,、手機(jī),、平板設(shè)備的攻擊代碼公開(kāi),可能已在黑客圈大面積傳播,。黑客利用OpenSSL“心臟出血”漏洞構(gòu)造特殊網(wǎng)頁(yè),,誘騙網(wǎng)民點(diǎn)擊訪問(wèn)。 當(dāng)用戶電腦或移動(dòng)電子設(shè)備使用了OpenSSL的軟件,,訪問(wèn)到上述攻擊網(wǎng)頁(yè)時(shí),,黑客就通過(guò)服務(wù)器發(fā)送惡意“心跳包”(定時(shí)發(fā)送的通訊包)給客戶端,利用漏洞多次遠(yuǎn)程讀取用戶系統(tǒng)內(nèi)存數(shù)據(jù),,盜取用戶數(shù)字證書(shū),,賬號(hào),密碼,,上網(wǎng)記錄等重要信息,。 OpenSSL Heartbleed(“心臟出血”)漏洞被業(yè)內(nèi)稱為2014年度最重大的安全漏洞之一,它不久前由安全公司Codenomicon和谷歌的工程師發(fā)現(xiàn),,漏洞編號(hào)CVE-2014-0160,。 由于OpenSSL協(xié)議廣泛應(yīng)用于網(wǎng)銀、在線支付,、電子郵件,、電商等重要網(wǎng)站,所以利用此漏洞的黑客只需坐在電腦前,,即可實(shí)時(shí)獲取約30%以https開(kāi)頭網(wǎng)址的用戶登錄賬號(hào)密碼,。 據(jù)最新消息,該漏洞不僅影響了大量網(wǎng)站服務(wù)器,,也存在于思科和Juniper的網(wǎng)絡(luò)設(shè)備中,。思科已經(jīng)列出了10余款被確認(rèn)存在漏洞的產(chǎn)品,而另60余款產(chǎn)品可能受到影響,,但調(diào)查仍在進(jìn)行中,。 除網(wǎng)絡(luò)設(shè)備之外,一些手機(jī)系統(tǒng)也存在“心臟出血”漏洞,。谷歌近日發(fā)布公告證實(shí)安卓手機(jī)用戶同樣受到此漏洞的威脅,。谷歌稱安卓系統(tǒng)的4.1.1版采用了有漏洞版本的OpenSSL協(xié)議庫(kù),用戶同樣面臨隱私遭竊取的風(fēng)險(xiǎn),。 據(jù)安全圈人士透露,,由于OpenSSL漏洞的出現(xiàn),在近日的地下交易市場(chǎng)中,,各種兜售非法數(shù)據(jù)的交易顯得異?;鸨?/P> 目前,,國(guó)內(nèi)外眾多網(wǎng)站和網(wǎng)絡(luò)服務(wù)商正積極應(yīng)對(duì)此次重大安全事件,。金山毒霸安全中心分析,,截止目前,包括工行,、建行,、農(nóng)行、交行,、招行等較大的銀行網(wǎng)站,,支付寶、淘寶,、京東,、卓越等電商及支付網(wǎng)站,新浪,、騰訊,、網(wǎng)易等門(mén)戶網(wǎng)站,國(guó)內(nèi)網(wǎng)民經(jīng)常使用的知名網(wǎng)站服務(wù)已修復(fù)該漏洞,。但是,,國(guó)內(nèi)仍有部分網(wǎng)站仍未修復(fù),尚存風(fēng)險(xiǎn),。 金山毒霸安全中心正在研發(fā)可靠防御方案,,相應(yīng)的技術(shù)方案正在緊張測(cè)試中,最近即將上線,。安全專家建議近期在QQ聊天,、處理郵件,、上網(wǎng)瀏覽時(shí),,不要點(diǎn)擊不受信任的https開(kāi)頭的鏈接,避免攻擊導(dǎo)致個(gè)人重要信息泄露,。另外,,對(duì)網(wǎng)民來(lái)說(shuō),更改密碼設(shè)置也是非常必要的,,建議不同的網(wǎng)絡(luò)服務(wù)設(shè)置不同的賬號(hào)密碼,,防止某網(wǎng)站賬號(hào)泄露后造成更大范圍的隱私泄露。 已修復(fù)漏洞的知名網(wǎng)站
未修復(fù)漏洞的網(wǎng)站 |
|
|
